基于SOA架构的统一身份认证技术研究与应用

摘要

PC机、手机、平板及智能家电等电子设备的不断普及促进了三网融合下各种新兴业务的快速开展，然而这些新兴业务的身份认证系统之间由于服务动态性、异构性及开放性的不同，导致各认证系统在维护与实现等方面存在众多差异与冗余。随着三网融合的推进，“多屏”、“多终端”业务将是未来的发展方向，跨终端的单点登录为推动三网融合的分步实现，提供了切实可行的创新技术和产品，同时为消费者提供了“多终端”的用户体验。
　　本文采用面向服务的编程思想，结合SAML和0Auth2.0协议的优点，提出一种基于SOA架构的跨终端统一身份认证系统，用来解决三网融合下跨终端单点登录与登出、异构系统的集成、用户认证繁琐冗余、可管理、可监控性差等问题。
　　本文采用JavaEE框架与WebService技术来实现系统中的统一管理、统一认证与统一鉴权服务的功能和接口，并实现了异构身份认证系统的集成。同时采用混合加密的方法对令牌交换机制进行了改进，可有效防止重放攻击与中间人攻击，并解决了OAuth2.0协议中的使用时间戳容易出现重放攻击的问题。混合加密方法中的一次性随机数是采用组合混沌伪随机算法生成的，该算法使生成的随机数更加均匀，更加安全。最后，使用ESB应用模型对该方法进行了验证，并分别使用LoadRunner9.5与paros3.2做了压力测试与重放测试。实验结果表明，采用混合加密令牌的方式可以明显降低响应时间，节约时间约0.7倍，当终端与应用系统非常多的情况下，使用跨终端的单点登录系统有效地减少了用户登录次数，迅速地降低了响应各个业务系统的时间，提高了用户工作效率，为集中管理平台上的各业务系统提供了方便。

目录

声明

摘要

1 绪论

1．1 研究目的及意义

1．2 国内外研究现状

1．2．1 国外研究现状

1．2．2 国内研究现状

1．2．3 建立跨终端统一身份认证的必要性

1．3 研究目标及内容

1．3．1 研究目标

1．3．2 研究内容

1．4 论文结构安排

2 相关技术研究

2．1 概念介绍2．1．1单点登录

2．1．2 跨终端单点登录

2．2 SOA概述及其实现技术

2．2．1 Web Service

2．2．2 SOAP

2．2．3 WSDL

2．2．4 UDDI

2．2．5 XML

2．2．6 ESB

2．3 OAuth2．0

2．3．1 访问许可

2．3．2 OAuth2．0获取访问令牌的方式

2．3．3 OAuth2．0刷新访问令牌的方式

2．4 SAML2．0

2．5 LDAP

2．6 信息加密技术

2．6．1 对称加密机制

2．6．2 非对称加密机制

2．6．3 数字签名

2．7 本章小结

3 统一身份认证平台的研究与设计

3．1 统一身份认证平台体系架构

3．1．1 统一身份认证平台的功能需求

3．1．2 统一身份认证平台的体系架构

3．1．3 系统关键性问题

3．2 基于ESB的统一认证模型设计

3．3 统一身份认证平台的交互流程

3．4 改进的令牌交换机制

3．4．1 协议安全性分析

3．5 组合混沌伪随机算法

3．6 多终端单点登录业务流程设计

3．7 多终端单点登出业务流程设计

3．8 目录服务设计

3．9 用户模型设计

3．10 认证接口设计

3．10．1 类设计

3．10．2 认证服务接口

3．10．3 LDAP接口

3．11 数据库表设计

3．12 本章小结

4 系统实现及关键技术

4．1 系统实现

4．1．1 软硬件平台

4．1．2 具体实现

4．2 令牌封装

4．2．1 SAML令牌请求Access Token

4．2．2 SAML令牌返回Access Token

4．3 用户注册模块

4．4 单点登录模块

4．5 终端管理模块

4．6 账号关联模块

4．7 取消账号关联模块

4．8 单点登出模块

4．9 销户模块

4．10 统一身份认证平台服务接口

4．10．1 目录服务的实现

4．10．2 使用Web Services架构统一身份认证服务

4．11 本章小结

5 系统测试与性能分析

5．1 系统测试

5．1．1 测试环境

5．1．2 功能测试

5．1．3 性能测试

5．2 性能分析

5．2．1 系统安全性

5．2．2 系统加密开销

5．2．3 系统开销

5．3 本章小结

总结与展望

致谢

参考文献

攻读硕士学位期间发表论文及参研课题